woiza

Bin mir nicht ganz sicher, vermute aber mal Server 2

Ja, muss sie... Gruß woiza

Ist das Häkchen auf Server 2 für die DNS-Registrierung gesetzt?

Lass in den Netzwerkeinstellungen bei beiden DCs nur den ersten als DNS-Server fragen. Zusätzlich wirf die DNS-Zone auf dem 2. Server weg. Dann mach auf deiden Maschinen ipconfig/registerdns. Dadurch sollten dann beide in der gleichen DNS-Zone stehen und auch beide diese Zone abfragen. Dadurch sollte sich das Replikationsproblem lösen lassen. Durch die 2 primären Partitionen hast du das Phänomen, dass jeder Server andere Infos vom DNS bekommt, weil diese quasi unabhängig sind. D.h. die Zone 1 kann vielleicht Server 1 liefern, aber nicht Server 2 und umgekehrt. Funktionierende DNS-Auflösungen sind aber Grundvoraussetzung für die Replikation. Wenn die Replikation wieder tut, würde ich die Zone ins AD integrieren, dann bekommt sie der andere Server automatisch ab. Gruß woiza

Ja und nein. Bei AD-integriert gibt es keine sekundären Zonen. Sek.Zonen sind ja Readonly, während primäre beschreibbar sind. AD-integrierte Zonen sind aber auf jedem Rechner beschreibbar, das ist ja der Vorteil. Aber natürlich kann eine AD-Zone an einen sek. Server, etwa BIND transferiert werden. Dazu muss einfach das Häkchen "Zonenübertragung zulassen" gesetzt werden. Zusätzlich sollte aus Sicherheitsgründen spezifiziert werden, an welche Server übertragen werden darf. Gruß Woiza

Händelt es sich um eine Singledomain-Umgebung? Wenn ja, dann sollte es nicht 2 Primäre DNS-Zonen geben. Siehst du denn unter Sites & Services jeweils beide DCs?

Die Prüfungsliste gibts bei MS, ich würde mit 70-270 anfangen, die ist recht easy, dann gibts schnell ein Erfolgserlebnis. http://www.microsoft.com/learning/mcp/mcse/windows2003/ MCSE+I gibts nicht mehr, dafür aber MCSE+M und MCSE+S. Den Völk gibtrs noch, habe ich aber noch nie verwendet, weil ich die Prüfungen Englisch mache. Ich verwende die roten Exam Cram Bücher von QUE. Die blauen MSPress Bücher (also die grünen auf deutsch) verwende ich zur Vertiefung bei Themen, die mir aus der Praxis unbekannt sind (RAS+ VPN :D ). Überhaupt ist Praxis essentiell, ohne werden die Prüfungen sehr schwierig. In dem Fall würde ich mir ein Testlabor mit VMWare anlegen und üben, üben... Transcender finde ich eine gute Sache für die letzten Abende vor der Prüfung, um einfach sicher zu gehen, dass alles sitzt, nur damit zu lernen, reicht, wenn überhaupt, nur, wenn wirklich erhebliche Praxiserfahrung da ist. Im Vergleich zu NT 4.0 hat das Niveau deutlich angezogen. Braindumps sind in diesem Forum mit Recht ein rotes Tuch, die sind daran Schuld, das der Ruf des MCSE so in den Keller ging. Allerdings kann ich mir auch nicht vorstellen, dass Braindumps alleine genügen. Den gestiegenen Anspruch sieht man auch an den gesunkenen Absolventenzahlen ;) : http://www.microsoft.com/learning/mcp/certified.asp Aber wie gesagt, Braindumps haben hier nichts zu suchen. Gruß und fröhliches Lernen (bin auch gerade an 290) woiza

ping IP-ADRESSE >log.txt überschreibt log.txt ping IP-ADRESSE >>log.txt hängt an

Die kostenlose Variante wäre ADMT von Microsoft. Allerdings findet da nicht direkt eine Verschmelzung statt, vielmehr werden die Inhalte der einen Domäne in die andere verschoben. Eine komplette Verschmelzung ist nicht möglich, wäre ja auch kompliziert weil beide u.U. unterschiedliche Schemas, Display Specifier usw haben. Gruß woiza

Es lief nix falsch, es ist halt nur so, dass wir eine recht große Umgebung (~40000 User) haben. Und da ist dann vieles aus den MOC-Kursen nicht anwendbar, weil die meist auf kleinere Umgebungen abzielen. Beispielsweise wird im Exchange MOC die Migration von 5.5 nach 2003 hauptsächlich als Inplace-Upgrade, bzw. mit ADC behandelt. Beides ist aber praktisch nicht durchführbar, wenn ca. 100 NT 4.0 Domänen in 20 AD-Domänen migriert werden sollen. Bei den AD-Kursen (habe beide Upgrade Kurse 2000 -> 2003 besucht) fehlten mir persönlich tiefergehende Infos zu den Kommandozeilentools, wie NTDSUTIL, repadmin usw. Auch wird nur sehr oberflächlich auf die Replikation eingegangen (KCC, ISTG...). Die einzelnen Partitionen und ihr Aufbau kommen so gut wie gar nicht vor. Ich weiß nicht, ob das jetzt Werbung ist, ich würde das jetzt eher als Beispiel verstehen, aber in BB gibt es ein kleines Schulungsunternehmen, das Vertiefungskurse anbietet, die weit über die MOC-Kurse hinausgehen, z.B. - Erzwungene Übernahme (Seize) von Betriebsmastern (Schema, RID, Domain Naming Master). - Entfernen von "Leichen" durch ADSIEDIT bzw. NTDSUTIL Meta Data Cleanup - KCC und ISTG Inter-Site Topology Generator. - Ring- und Spanning-Tree-Topologie; Site Link Bridge. - Monitoring Active Directory Replikation - Suchen nach gelöschten Objekten (Tombstones) - Display Specifiers Management usw. Zusätzlich finde ich eben bei Spezialthemen, wie Exchange Disaster Recovery o.ä. einen 2 Tages-Workshop besser, als das, was bei MOC abgedeckt wird. Außerdem muss man bei MOC-Kursen ziemlich Glück haben, was die Trainer angeht. Ich hatte einen Trainer, der zwischen Kursen und Consulting abwechselt, da konnte man einiges mitnehmen. Im Exchangekurs wars dafür ein "reiner" Trainer, der z.B. bei Schwierigkeiten mit dem SSL-Zertifikat einfach den VirtualServer zurückgesetzt hat. Das ist dann nicht so toll. Gruß woiza

MCSE bekomme ich nur die Prüfungen bezahlt, weil man da bei uns schon schlechte Erfahrungen gemacht hat. Da sind schon Leute eneni Monat nach der letzten Prüfung gegangen. ;)

Ja, wenn sie nötig sind. Ist der Vorteil im Öffentlichen Dienst. Gehalt ist nicht so toll aber jede Menge Kurse. Letztes Jahr insgesamt 6 Wochen. :D Ich mache übrigens keine MOC-Kurse mehr, der letzte Exchange-Moc hat mir gereicht. Es gibt eine Menge Anbieter, die spezielle Kurse oder Workshops anbieten, das bringt meist mehr.

Technet (oder Windows Hilfe und runas suchen): http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/9ab05e52-2bd5-4c3d-bfb4-ff47636b79be.mspx?mfr=true Eine Verknüpfung mit runas anlegen: runas /user:Domänenname\Benutzername "mmc c:\admin\myadmin.msc" Den Autorenmodus kann man mit Policies verbieten. Unter Benutzerkonfiguration/Adm. Vorlagen/Microsoft Management Console/Autorenmodus für Benutzer nicht zulassen Hier können auch einzelne Snapins für die Benutzer erlaubt oder verboten werden.

Es gibt schon Szenarien, in denen Child Domains sinnvoll sind, z.B. kann in der Child Domain der Domänenadmin zusätzliche DCs ins Leben rufen, ohne dies in den anderen zu können.

Klar, weil die einzelnen Domains in deinem Szenario nix miteinander zu tun haben. Du müsstest für "richtige" Subdomains beim DCPromo erst auswählen "Domain Controller for a new Domain" und dann "Child Domain in an existing domain tree" oder so ähnlich und nicht "Domain in a new forest", dann siehst du alle Domänen unter Domains and Trusts in einer Baumstruktur. Check mal unter %systemroot%\debug\netlogon.log, ob da ne Menge Einträge drin sind. Etwa so: 09/14 04:20:03 "DOMAIN": NO_CLIENT_SITE: "Machine" "IP"

Nochmal, die verschiedenen Subnetze haben nichts mit der Frage der Domänenanzahl zu tun. Die pysikalische Topologie wird komplett über die Sites abgebildet. Das währe grob das Pendant zu Exchange Routinggruppen. Die Domäne wäre dann grob die Administrative Gruppe. Den Filezugriff kann man über NTFS-Berechtigungen lösen. Mein Vorschlag ins Blaue, ohne jetzt die Struktur genau zu kennen, wäre: -1 Domäne -abhängig von der Zuverlässigkeit (weniger der Geschwindigkeit) der Verbindungen zwischen den Netzen kann man pro Netz eine Site (nicht Domäne) aufbauen. Sollte die Verbindung stabil sein und nicht allzuviele Mitarbeiter vor Ort sitzen, würde ich mir den DC vor Ort sparen. Die Anmeldung frisst nicht viel Bandbreite, daher einfach das "kleine" Subnetz der Site eines größeren Standortes zuweisen, dann geht die Anmeldung dorthin. -Profile, Eigene Dateien usw. können dann auf einem lokalen Fileserver liegen. Generell gilt: je mehr DCs miteinander replizieren müssen (bei uns ca.90), desto komplexer wird die Struktur. Da muss dann fürs troubleshooting schon einiges an Wissen dasein. Wir haben eine mit euch vergleichbare Domäne, die aus vielen relativ kleinen Standorten (ca 10-30 MA) besteht, die über ein ganzes Bundesland verteilt sind. Für diese Struktur gibt es genau 2 Sites mit je 2 DCs an den größten Standorten, die übrigen Standorte sind mit ihren Subnetzen an diese Sites angebunden und haben vor Ort lediglich Fileserver. Eine gute Seite wüsste ich jetzt nicht, aber ich könnte dir auf alle Fälle die O'Reilly Bücher zum Thema empfehlen. vor allem das Cookbook ist Gold wert. Auch gut ist das MITP Buch Active Directory von O. Kümmel.

Kleiner Nachtrag zu Single-Domain vs. Multidomain. Diese Entscheidung ist hauptsächlich eine Frage des Administrationsmodells, sprich habe ich Domainadmins, die alles betreuen sollen, oder will ich getrennte Domainadmin-teams haben. Zusätzlich ist dies noch eine Security-Überlegegung. Habe ich in verschiedenen Bereichen andere (höhere) Anforderung an die Default Domain policy, etwa in Bezug auf Passwortrichtlinien usw. Last but not least (leider) gibt es noch den Fall, dass sich bestimmte Einheiten "Sehen" wollen, so nach dem Motto "Wir hatten bis jetzt ne eigene NT Domäne, also wollen wir weiter ne eigene Domäne haben" Im Falle eines Multidomain-Forrests sollte nach Möglichkeit die Rootdomäne leer bleiben, das bringt gewisse administrative Vorteile.

Wenn die Domain Birne.Apfel.Local unabhängig von Apfel.local installiert wurde, wenn also beim DCPromo ausgewählt wurde "Create new Domain in a new Forrest", dann stellt dieser DC für sich einen eigenen Forrest mit allen 5 FSMOs dar. Er hängt nur aus DNS-Sicht unter Apfel.local. Wir haben bei uns ein ähnliches Konstrukt. Einige Abteilungen bestehen auf getrennten Forrests (zwecks Geheimhaltung), sind aber in einem gemeinsamen DNS-Namensraum angesiedelt. Unser zentraler DNS delegiert also die Zone Birne.Apfel.local an die unabhängige Domäne und bei Birne ist die Apfel.local als Stammhinweis eingetragen. Beide Möglichkeiten haben Vorteile. Allerdings kommst du bei keiner von beiden um eine Neuinstallation der DCs herum. Der Anmeldetraffic hat übrigens nix mit der Domäne zu tun. Das wird über die im AD eingetragenen Subnetze gesteuert, die dann der entsprechenden Site zugeordnet werden. Das funktioniert bei Single- und Multidomain-Umgebungen. Wenn das Subnetz deines Clients nicht im AD eingetragen ist, meldet er sich unetr Umständen sonstwo an. Außerdem gibts dann ne Latte von Fehlermeldungen. Was ist untergeordnet? Wenn du lediglich untergeordnet im Sinne von DNS-Subdomains meinst, dann sind diese ja eigenständige Forrest (s.o.) Wenn du damit eine Subdomain aus AD-Sicht meinst, dann hat diese Subdomain keinen eigenen Schemamaster, da das Schema im ganzen Forrest gleich sein muss. Anders ausgedrückt: Es gibt im Forrest nur eine Schemapartition (und eine Configuration, aber die lassen wir jetzt mal weg) und auf der kann nur der Schemamaster schreiben. Die untergeordneten Domänen haben dann folgende 3 FSMOs: -RID-Master -PDC Emulator -IS Master

Bin fast 29und hoffentlich vor 30 MCSE :)

-Start, Ausführen, MMC.exe -in der MMC dann Datei/Snapin hinzufügen, hier dann Benutzer und Computer hinzufügen -DC auswählen -Datei/Optionen, dann Konsolenmodus auf Benutzermodus - Vollzugriff -Häkchen "Änderungen nicht speichern" setzen, übernehmen -Datei, Speichern unter, fertig :cool:

Das lässt sich schwer beantworten, kommt auf deinen bisherigen Hintergrund an. Womit hast du bisher zu tun gehabt? Ich habe mir die Security-Spezialisierung auch angesehen und frage mich, wie aussagekräftig eine Zertifizierung für ISA ist, wenn ich in der Praxis noch nie einen gesehen habe. Von daher, wenn du schonmal mit Mail zu tun gehabt hast, würde ich Exchange machen. Es dürfte auch mehr Exchange-Installationen, als ISA geben. Aber Vorsicht: Exchange ist mehr, als nur Postfächer verwalten... Da kommen auch noch Clustering, Migration, Public Folders usw. hinzu.

Doch, es bringt was, nämlich die Chance auf einen Job. Ich habe ein IT-Studium absolviert und bin bei einer Stelle nicht zum Zug gekommen, weil ein anderer Bewerber (mit Bauing.-Studium) den MCSE zusäzlich hatte. Mehr Kohle gibts nicht, das stimmt... Ich auch... :D Ich würde ihn auch machen, bzw. mache ihn gerade. Ich denke das Wichtigste ist der letzte Halbsatz. Man sollte nicht unbedingt das große Geld bei Zertifizierungen vor Augen haben, sondern die Chance nutzen, zu lernen, lernen und noch mehr zu lernen. Der Rest kommt von allein.

Korrekt... Jagut, das weiß ich nicht. Das versuche ich ja herauszufinden... Nein. Erstens geht das technisch nicht und zweitens ist das auch nicht ganz die Funktionsweise von AD. Ich hole mal etwas aus. Bei NT war nur der PDC beschreibbar, die BDCs haben lediglich Read-Only Kopien. Das ist äußerst bescheiden, wenn ich eine große, geografisch verteilte Umgebung habe, die ich in einer Domäne unterbringen will. Der Benutzer im Hamburg müsste danns seine Benutzer auf dem PDC in München anlegen. Daher sind im AD alle DCs beschreibbar und auch prinzipiell gleichberechtigt. Jetzt gibt es bestimmte Aufgaben, die auf keinen Fall mehrfach vorhanden sein sollten. Man stelle sich vor, in Hamburg wird eine Schemaerweiterung durchgeführt und in München zur gleichen Zeit eine andere, inkompatible. Oder beide würden gleichzeitig den Exchange-Forrestprep durchführen. Bei der nächsten Replikation rummst es gewaltig. Daher hat MS das Konzept der FSMO Rollen eingeführt. Diese können von Server zu Server verschoben werden (Flexible), dürfen aber pro Domain/pro Forrest nur einmal vorhanden sein (Single). Diese sind dann Chef für bestimmte Dinge, die nur sie dürfen. Der Schemamaster hält nicht die Struktur des AD, sondern ist für das LDAP-Schema zuständig, sprich er hat als einziger Schreibrecht auf die Schemapartition. Im Schema wird beschrieben, welche Objekte angelegt werden dürfen, welche Attribute Pflicht sind usw. Alle Schemaänderungen müssen hier durchgeführt werden. Die AD-Struktur verwaltet, wenn man so will, der Domain Naming Master. DIeser ist zuständig, wenn neue Domänen hinzugefügt werden. Beide sind im Forrest einmalig. Der RID-Master verwaltet die RIDs, d.h. er vergibt RID-Pakete an die einzelnen DCs, damit keine RID doppelt verwendet werden. Dann gibt es noch Infrastruktur-Master und PDC-Emulator, die lasse ich jetzt mal weg. Für deinen konkreten Fall heißt das, dass in dem Forrest, der dann später der zentrale sein wird, alle Rollen mindestens einmal vorhanden sind, falls Multidomain, dann gibt es die drei Domain-FSMOs entsprechend mehrfach. Die einzelnen DCs stellen jeder für sich auch einen Forrest dar. Also gibt es dort einen Schemamaster, sowie einen DN-Master. DAher kann dieser auch nicht einem anderen Forrest beitreten. Von daher: was spricht dagegen mit ADMT den Content u migrieren, das ist doch das einzig interessante aus den "Einzelmaschinen". Danach können diese DCs plattgemacht werden und in den neuen Forrest installiert werden.

Wenn ich das richtig verstehe, willst du mehrere Gesamtstrukturen in eine konsolidieren. Dann würde es nicht viel bringen, die gesamte AD-Struktur mit LDIF oder was auch immer zu exportieren und wieder zu importieren. Bestimmte Konten und Gruppen wären sonst in den einzelnen Import-Files ja doppelt und dreifach vorhanden. Ich würde den Content der Domänen mit ADMT in die zentrale Struktur migrieren. Auch für das Szenario "Umzug von Server1 nach Server2" würde ich diesen Weg nicht wählen. Lieber die zweite Maschine als zusätzlichen DC aufnehmen, die Replikation abwarten und dann die Rollen und DNS umziehen. Ansonsten zur Info: http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/howto/bulkstep.mspx

sieht aus der Ferne nach Netzwerkproblem aus. Was sagt denn netdiag? Gibt es bei den Eventeinträgen weiter unten noch Fehlercodes? Hat der Server mehrere NICs?